Wstęp
Centrala właśnie zapowiedziała audyt RODO? Inspektorzy Urzędu Ochrony Danych Osobowych chcą odwiedzić Twoją organizację?
A może po prostu chcesz uprzedzić kontrolę i sprawdzić poziom RODO zgodności?
Jeśli tak, to koniecznie zapoznaj się z poniższym tekstem.
Pamiętaj o zasubskrybowaniu naszego bloga. W mailu aktywującym konto otrzymasz dwa użyteczne narzędzia. Jednym z nich będzie arkusz oceny RODO zgodności, dzięki któremu… ustalisz zgodność z RODO w Twojej organizacji!
Zapisz się na nasz newsletter i pobierz dodatkowe materiały
Mija kolejny rok…
… a my jesteśmy bogatsi o nowe doświadczenia. Między innymi te płynące z przeprowadzenia kilkudziesięciu powdrożeniowych RODO audytów. Nasi klienci byli też wielokrotnie audytowani przez podmioty zewnętrzne. A nawet kontrolowani przez inspektorów UODO.
Bycie kontrolowanym czy sprawdzanym nigdy nie jest przyjemne. Dzielimy się z Wami naszymi wnioskami, przemyśleniami i refleksjami. Upewnij się, że w Twojej organizacji nie występują poniższe uchybienia… lub znajdź je zawczasu i wyeliminuj!
Niezgodność # 1:
Wdrożenie RODO nie jest jednorazowym projektem – jest procesem!
Ogromna ilość błędów i braków RODO gotowości jest konsekwencją niezrozumienia fundamentalnej idei.
RODO nie może być traktowane jako jednorazowy projekt biznesowy pt.: „zamawiam wdrożenie, szkolę pracowników, podpisuję politykę ochrony danych i mam spokój z tematem na najbliższe 10 lat”.
Potrzebny jest ktoś (konkretna osoba), kto weźmie odpowiedzialność za stosowanie procedur, zaktualizuje Rejestr Czynności Przetwarzania (RCP), przygotuje umowę powierzenia, etc.
Dlatego jednym z podstawowych obszarów badanych przez audytorów (czy to z centrali czy to inspektorów UODO), jest to, czy osoba odpowiedzialna za RODO, działa na bieżąco.
Sprawdzić to można choćby poprzez obejrzenie naszego RCP oraz dat jego ostatniej aktualizacji. Jeśli audytor widzi, że żadnych aktualizacji od 25 maja 2018 roku nie było… od razu pojawi się lampka ostrzegawcza i wątpliwość co do aktualności całego naszego systemu RODO.
Poniżej lista najczęstszych braków RODO gotowości, będących efektem traktowania RODO jako punktowego działania:
- Rejestr Czynności Przetwarzania
Brak jakichkolwiek aktualizacji nie wzbudzi zaufania audytorów. Z drugiej strony, nic na siłę. Jeśli w naszej organizacji przez ostatnie 1,5 roku naprawdę nic się nie zmieniło… to i RCP się nie zmieni!
O tym jak prawidłowo prowadzić RCP pisaliśmy już na naszym blogu tutaj.
- Brak podpisanych umów powierzenia,
Czasami podpisanie umowy powierzenia może zająć dużo czasu. Niemniej jednak warto… a już na pewno w kluczowych obszarach takich jak np. outsourcingi IT, kadr czy działań marketingowych.
Do tego tanga trzeba dwojga – jeśli druga strona uprze się, aby umowy nie podpisać, to jej nie podpisze.
Niemniej jednak sami też możemy dużo zrobić!
Zupełnie inaczej wygląda rozmowa z audytorem, kiedy możemy pokazać ponaglające maile i wezwania do zawarcia umowy, niż ta sama sytuacja, kiedy jedyne co mamy to mail sprzed roku z draftem umowy powierzenia i prośbą o podpis.
Samą umowę powierzenia przetwarzania również rozłożyliśmy na czynniki tutaj.
- Całkowity brak lub nieaktualny Rejestr Kategorii Czynności Przetwarzania
Sytuacja zbliżona do tej opisanej w pkt 1) czyli RCP. Tak się jednak składa, że w praktyce mało kto zapomina o prowadzeniu RCP w ogóle.
Ale już w przypadku RKPC – to zdarza się dość często!
Nie zapominaj o RKCP i jego aktualizacji!
O tym kto powinien prowadzić RKCP i jak to robić pisaliśmy tutaj.
- Niezaktualizowane obowiązki informacyjne
Obowiązki informacyjne, ich brak lub nieaktualność nie umkną uwadze większości audytorów. A także części klientów.
Pamiętaj o tym, żeby były aktualne! A już zwłaszcza te widoczne dla większości mieszkańców naszej Planety, które znajdują się na Twojej stronie internetowej.
Kompendium wiedzy na temat obowiązków informacyjnych znajdziesz oczywiście również… na naszym blogu! :-).
- Brak upoważnień dla wszystkich lub części pracowników
Im więcej czasu upłynęło od wdrożenia, tym mniejsza szansa, że upoważnienie będzie prawidłowo nadane. Sprawdzanie obszaru upoważnień zacznij więc od niedawno zatrudnionych osób.
Audytorzy na pewno nie zapomną o tym temacie.
O nadawaniu upoważnień oczywiście też już pisaliśmy na naszym blogu. Niemniej jednak tekst dotyczy nadawania upoważnień w poprzednim stanie prawnym. Nowy, aktualny tekst pojawi się już w lutym 2020.
Pakiet wdrożeniowy RODO Optymalnie
Masz niekompletną dokumentację, a Twój rejestr czynności przetwarzania świeci pustkami? Nie wiesz jak opracować klauzule informacyjne tak, aby ich treść spełniała warunki RODO? Twoi pracownicy nadal nie wiedzą czym są dane osobowe i jakie są podstawowe zasady ich przetwarzania?
SprawdźNiezgodność # 2:
Błędy formalne
Czy można wdrożyć RODO ale tak naprawdę… nie wdrożyć? Można!
Jak tego dokonać? Wystarczy przygotować procedury, zebrać je w formę Polityki ochrony danych osobowych podpisywanej przez Zarząd. Następnie nie doczekać się podpisu Zarządu.
Znamy takie przypadki. Problem w tym, że ten z pozoru błahy błąd sprawia, że nasze procedury nie mają odpowiedniego umocowania. Dla inspektorów UODO, uznane zostaną za nieistniejące.
W dużej organizacji, która czasem wymaga dwóch i więcej podpisów na podobnych dokumentach, może być trudno zebrać Zarząd ad hoc i zdążyć z podpisem na czas kontroli.
Kolejny błąd formalny, który może się pojawić to brak zgłoszenia Inspektora Ochrony Danych do Regulatora.
Zwłaszcza w przypadku audytu centrali – pamiętajmy o posiadaniu potwierdzenia zgłoszenia IOD Regulatorowi.
Poza zgłoszeniem IODa do UODO, pamiętajmy też o dokumencie powołania IODa w organizacji.
Niezgodność # 3:
Brak zdrowej struktury RODO odpowiedzialności
Skuteczne wdrożenie RODO nakłada na organizację pewne obowiązkowe działania. Aby były one realizowane na co dzień, ktoś musi wziąć za nie odpowiedzialność.
Ktoś powinien odpowiadać za nadanie upoważnień, przygotowanie umów powierzenia, reakcje na incydenty, etc.
Ktoś powinien również odpowiadać za całokształt RODO gotowości. To bardzo ważne, aby ktoś spojrzał na funkcjonowanie organizacji również z perspektywy całości i skorygował ewentualne niezgodności.
Taką osobą koordynującą całość – najczęściej będzie Inspektor Ochrony Danych.
Jakie więc błędy można popełnić w obszarze struktury RODO odpowiedzialności?
Najczęściej spotykane błędy w strukturze RODO odpowiedzialności
- Brak wsparcia dla IODa – tj. model w którym IOD odpowiada za wszystkie działania, łącznie ze szkoleniem, negocjowaniem umów powierzenia, IT, nadawaniem upoważnień, etc. (z małym zastrzeżeniem - może się sprawdzić w małej organizacji lub sytuacji IODa pracującego na etat i zajmującego się tylko RODO),
- Brak wyznaczenia osoby czuwającej nad kwestiami RODO jako całością. Jeśli nie musimy powoływać IODa, to i tak ktoś powinien wziąć odpowiedzialność za RODO jako za całość.
- Nieostry podział zadań i obowiązków. Każdy powinien wiedzieć dokładnie za co odpowiada w obszarze RODO. Brak jasnego i precyzyjnego podziału będzie prowadził do dysfunkcji systemu.
- Konflikty personalne i konflikty interesów – IOD jest podwładnym kierowników tych działów, które ma obowiązek nadzorować.
- Brak autonomii IODa lub osoby odpowiedzialnej.
Punkty 4 i 5 są ze sobą mocno zintegrowane. Osoba pełniąca funkcję IOD lub zbliżoną, musi dysponować pewnym poziomem niezależności. Bez niezależności działania IODa sprowadzą się do tworzenia systemu, który nie będzie miał wiele wspólnego z ochroną danych osobowych.
Niezgodność # 4:
Brak świadomości wśród pracowników
Ten błąd to prawdziwa klasyka gatunku. Nawet jeśli mamy dobrze napisane i podpisane przez Zarząd (!), procedury to trudno o ich praktyczne funkcjonowanie, jeśli przeciętny pracownik nic o nich nie wie.
Budowanie świadomości to żmudny i niewdzięczny proces. Ale jeśli nie zamierzamy się go podjąć… równie dobrze możemy nie wdrażać RODO wcale.
Poziom RODO świadomości jest badany zarówno przez Regulatora, jak przez większość audytorów zewnętrznych.
My pisaliśmy już nie raz o RODO świadomości. Jeśli chcesz się dowiedzieć więcej o tym jak ją zmierzyć lub co zrobić aby ją podnieść – zapraszamy do naszego artykułu.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Niezgodność # 5:
Brak kontroli nad procesorami
Prawie wszystkie organizacje outsourcują część swoich procesów biznesowych. Oczywiście nie ma w tym nic złego, jeśli mamy kontrolę nad procesorami.
Ta kontrola przejawia się na 3 płaszczyznach:
- Podpisane umowy powierzenia,
- Aktualny rejestr zawartych powierzeń,
- Audyty procesorów.
O ile świadomość konieczności zawierania i ewidencjonowania umów powierzenia, to coś z czym większość organizacji, zdążyła się już oswoić, to z audytem procesora sprawa nie jest już tak oczywista.
Nie musimy audytować wszystkich naszych procesorów! Ale przynajmniej jeden zdalny audyt, dla któregoś z kluczowych procesorów wypadałoby zrealizować.
Pytanie o audyty procesora i ślad po ich realizacji było nam zadawane bardzo często przez zewnętrznych audytorów. I słusznie! Dlatego na naszym blogu powstał właśnie ten artykuł.
Niezgodność # 6:
Brak audytów RODO
W Lex Artist podeszliśmy do tego zagadnienia w sposób następujący. Po wdrożeniu RODO (maj 2018), daliśmy sobie i naszym klientom rok czasu na powiedzenie „sprawdzam”. W międzyczasie oczywiście działaliśmy na bieżąco, reagując na wszystkie wymagające tego sytuacje.
Po roku przeprowadziliśmy u każdego z klientów tzw. audyt powdrożeniowy. Sprawdziliśmy w sposób zbiorczy co działa, a co nie. Jakie mamy słabe i mocne strony.
Podobnie jak w czasach funkcjonowania ustawy o ochronie danych osobowych z 1997 roku, taka praktyka świetnie zdała egzamin.
Przez rok uzbiera się zawsze sporo mniejszych lub większych mankamentów, o których warto i nawet trzeba porozmawiać z Zarządem.
Zdecydowanie polecamy raz do roku wykonanie sprawdzenia pod kątem zgodności kluczowych obszarów z RODO. Opcjonalnie możemy badać wyrywkowo co roku inny obszar funkcjonowania RODO w naszej organizacji.
Spojrzenie na RODO gotowość z szerokiej perspektywy jest ważne! To właśnie robisz czytając ten tekst. Jeśli potrzebujesz wsparcia w realizacji audytu zgodności z RODO, skorzystaj z naszej pomocy.
Niezgodność # 7:
Retencja nie działa
Retencja sama w sobie to temat rzeka, o którym na pewno nie raz jeszcze napiszemy. Dużym problemem większości organizacji jest praktyczna realizacja retencji.
To, że wpisaliśmy okresy retencji i wpisaliśmy procedurę jej realizacji, nie znaczy, że będzie ona w praktyce stosowana przez adresatów.
Czy na skrzynkach mailowych wciąż znajdują się CV z rekrutacji sprzed 2 lat?
Jeśli tak – zdecydowanie warto coś z tym zrobić!
Niezgodność # 8:
Brak kontroli nad obszarem bezpieczeństwa IT
Obszar IT Security jest również istotnym elementem zgodności z RODO. Jego wagę pokazała kara nałożona przez UODO na spółkę Morele.net (więcej).
Ktoś z pracowników firmy (lub osoba z zewnątrz), powinien wziąć odpowiedzialność za bezpieczeństwo naszych systemów IT.
Kwestie logowania, odzyskiwania haseł, szyfrowania laptopów, backupów, reagowanie na incydenty, etc. Jeśli nikomu w organizacji nie można przypisać odpowiedzialności za powyższe obszary to znaczy, że o czymś ważnym zapomnieliśmy.
Niezgodność # 9:
Zbieranie zgód bez zadbania o ich rozliczalność
Zgoda… powinna być zgodna z RODO. Czyli konkretna i wyraźna, etc. Powinna być również rozliczalna.
Po pierwsze, musimy mieć możliwość sprawdzenia czy zgoda faktycznie została wyrażona.
Jeśli ktoś wyraził zgodę na jakiś proces na swoich danych, to ma również prawo do wycofania zgody. W jaki sposób odnotowujemy wycofanie zgody? W jaki sposób sprawimy, aby ta osoba już więcej nie dostała naszych wiadomości czy telefonów?
Czy opracowana przez nas metoda jest skuteczna?
Niezgodność # 10:
Brak rejestru naruszeń
W skali roku w większości dużych organizacji przydarzają się incydenty ochrony danych. Nie wszystkie wymagają jednak zgłoszenia do Regulatora.
Pamiętajmy o tym, że wszystkie incydenty, powinny zostać odnotowane w wewnętrznym rejestrze.
Z tym bywa już różnie. Niektóre organizacje w ogóle nie prowadzą takich rejestrów, inne wypełniają je sporadycznie.
Tymczasem pytanie o taki wewnętrzny rejestr, jest standardem zarówno jeśli chodzi o kontrole UODO, jak i kontrole zewnętrznych audytorów.
Podczas jednego z audytów, zewnętrzny kontroler poprosił mnie o wewnętrzny rejestr incydentów.
Odpowiedziałem, że jest pusty, ponieważ incydentów nie było. Mimo wszystko audytor chciał zobaczyć, czy dysponuję nawet pustym szablonem.
Podsumowanie
Podejmij RODO wyzwanie!
Dajemy Ci świetną okazję do bezbolesnego sprawdzenia swojego systemu RODO. Skorzystaj z praktycznego narzędzia – arkusza oceny RODO wdrożenia:
Zapisz się na nasz newsletter i pobierz dodatkowe materiały
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 roku (jako IOD)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.